Salesforce 邮件服务0day用于钓鱼攻击活动

研究人员提到，“显而易见，这些钓鱼活动通过组合利用 Salesforce 漏洞和 Facebook Web Games 平台中的遗留问题躲避检测方法。”

邮件信息假装源自 Meta，同时从域为 @salesforce.com 的邮件地址发送，目的是诱骗收件人点击链接，说辞是因为“怀疑参与假冒活动”，因此正在“全面调查”收件人的 Facebook 账号，目的就是将用户指向恶意登录页，而该页面的目的是捕获受害者的账号凭据和双因素认证码。该钓鱼包被托管为域名为 apps.facebook[.]com的 Facebook apps 平台下的游戏。

研究人员解释称，“难怪我们会看到这份邮件避开了传统的反垃圾邮件和反钓鱼机制。它包含facebook.com的合法链接，而且是从全球顶级CRM提供商之一、合法的邮件地址（@salesforce.com）发送的。”值得一提的是，Meta 在2020年7月弃用 Web Games 特性，尽管很有可能在弃用前开发了对遗留游戏的支持。

虽然通过 salesforce.com 发送邮件涉及验证步骤，但研究人员提到钓鱼攻击配置了使用 salesforce.com域的 Email-to-Case 站内路由邮件地址并将其设置为组织机构内的邮件地址，狡猾地绕过了这些防御措施。

研究人员指出，“它触发了验证流，将邮件发送到该路由地址，从而成为系统中的新任务。”这就导致只要点击添加受控地址请求所附加的链接，就能验证 salesforce.com 邮件地址。

他们还指出，“从此处开始能够制造任何类型的钓鱼方案，甚至通过这类邮件直接攻击 Salesforce 客户。而这最终到达受害者的收件箱，绕过反垃圾邮件和反钓鱼机制，甚至被谷歌标记为‘重要’。”

研究人员在2023年6月28日将问题告知 Salesforce 公司，后者在7月28日修复该0day，增加检查，阻止使用 @salesforce.com域的邮件地址。

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~